CMMC合规成为国防承包商的强制性要求
Dan Page
发布日期:2025年9月26日
我们知道它即将到来,但现在终于成为现实:CMMC不再是一个可选选项。发布新最终规则的批准被加速推进,截止日期迫在眉睫。
目录
- 简要介绍:什么是CMMC?
- 最新消息是什么?
- 为什么这很重要
- 在起跑前就输掉比赛
- 强制执行流程要求
- 获得CMMC唯一标识符
- 认证的灵活性
- CMMC的新时间表
- CMMC有任何变化吗?
- 为什么是现在?
- 您现在需要做什么
简要介绍:什么是CMMC?
CMMC是网络安全成熟度模型认证。首个版本早在2020年发布,旨在为国防部和国防工业基地带来信息安全的新范式,广泛应对针对政府的网络钓鱼和其他网络攻击日益增长的威胁。现有的框架如FedRAMP无法满足国防部的需求,但CMMC为保护敏感信息提供了更广泛的框架。
虽然敏感级别以上的信息(如机密和秘密信息)有自己的保护机制,但联邦合同信息和受控非保密信息的处理范围更广,安全性较差。
CMMC作为一个广泛框架,涵盖了在整个国防工业基地保护FCI和CUI所需的所有控制措施。作为一个经过第三方验证的框架,具有审计要求和逐级责任,它既帮助承包商致力于确保系统安全,又在关键时刻验证安全措施是否真正到位。
最新消息是什么?
之前于2024年10月发布的CMMC最终规则确定了CMMC 2.0的状态,这意味着该框架已退出反馈阶段并进入实施阶段。任何等待标准确定后再开始合规工作的组织现在都可以放心行动了。
自该规则发布起,CMMC作为国防部合同必需安全框架的全面实施倒计时已经开始。当时没有人知道这个倒计时会持续多久。
截至2025年9月10日,已发布新的最终规则。
《联邦公报》的摘要如下:
“国防部发布最终规则,修订《国防联邦采购条例补充》(DFARS),以纳入与名为’网络安全成熟度模型认证计划’的最终网络安全成熟度模型认证计划规则相关的合同要求。该最终DFARS规则还部分实施了《2020财年国防授权法》的一个章节,该章节指示国防部长制定一个一致、全面的框架,以加强美国国防工业基地的网络安全。”
该规则在审批过程中被加速推进;通常需要约90天的时间仅用了34天。最终结果是一个滴答作响的时钟:承诺CMMC的时间就是现在。
不过,新规则并不像听起来那么严格,尽管比以前严格得多。有一些例外情况;商业现成产品(COTS)可以在不需要实施CMMC的情况下有资格获得国防部合同,不处理FCI或CUI的承包商免除此需求,并且在2级和3级实施方面有一些时间灵活性。
无论如何,不应再有进一步的延迟。
为什么这很重要
将CMMC纳入联邦采购过程意味着,现在任何代表国防部或其承包商处理FCI或CUI的承包商都必须遵守,并受流程要求的约束。
这不是一个临时要求,也不是"我们赢得投标后再处理"的情况。没有有效、经过认证的CMMC实施,承包商将无法继续从事国防部合同工作,无法赢得国防部合同的投标,甚至根本无法投标这些合同。
在起跑前就输掉比赛
新的《联邦法规汇编》第48篇采购规则将权力交给了国防部合同官员。
这些官员现在能够:
- 根据承包商将处理信息的敏感性,指定合同所需的CMMC级别。
- 在授予合同前,在供应商绩效风险系统中检查和验证合规性。
- 取消任何不合规承包商的资格,无论该承包商在技术能力上多么胜任或对国防部的需求多么理想。
在该规则通过之前,CMMC是一个强烈建议,但国防部仍可以与不符合其标准的承包商合作,并可以允许与正在实施CMMC的承包商签订临时合同。现在,这种情况基本上不再存在。
强制执行流程要求
新规则的另一个影响是流程要求的法规化。与自身处理FCI或CUI的分包商合作的总承包商需要确保其分包商获得适当级别的认证。
这必须在合同工作开始前完成。在没有认证的情况下向下游共享敏感信息可能导致重大处罚。
获得CMMC唯一标识符
在新规则出台之前,从事国防部合同的公司可以获得国防部唯一标识符,这是附加到其在SPRS中配置文件的一段数据。该术语已被替换,现在称为CMMC唯一标识符。
这实质上是一段验证公司已通过审计并获得CMMC认证的数据。该标识符记录在SPRS中,可在授予国防部合同时用于验证目的。
认证的灵活性
对进行中合同的一个让步是,新规则允许针对目标为2级或3级认证但尚未完全通过审计的承包商,提供最长180天的有条件认证期。
这一时期允许国防部将合同授予尚未实现CMMC的公司,条件是他们在时间表内成功完成该过程。POA&M是这一应急计划的重要组成部分。
CMMC的新时间表
随着新政策的快速批准,您可能预期时间表会比通常短,但事实并非如此。熟悉政府合同的人已经可以猜到新的时间表。
这项于9月发布的新规则,将于2025年11月10日正式生效。这是CMMC 2.0作为官方强制性要求最终推出的开始。
从那时起,时钟设定为三年。从2025年11月到2028年10月,国防部可以像往常一样授予合同,公司可以在未完成CMMC合规过程的情况下与国防部合作。然而,一旦到了2028年11月,全面强制性合规的时间就到了。
此时,除COTS产品等排除情况外,任何与国防部合作或申请投标国防部合同的承包商都将被要求实施适当级别的CMMC。虽然许多公司一直在朝着总体CMMC目标努力,但现在有了完成该目标的明确截止日期。
需要特别明确的是:从2025年11月开始,国防部合同可以要求CMMC,但不是必须要求。到2028年11月,除少数罕见例外(如COTS产品)外,所有国防部合同都将要求CMMC。在此期间,预计越来越多的合同将要求SPRS中经过CMMC验证的公司,任何当前未认证的公司将被直接忽略。
CMMC有任何变化吗?
没有。CMMC每个级别的实际要求清单的最终规则已于2024年底确定。这项新规则是CMMC何时被要求的形式化,但并未对合规的含义进行更改。
如果您已经在进行CMMC合规工作,过程中没有任何变化,您应该继续。如果您已经通过CMMC验证,那么您已经准备就绪。如果您尚未开始,并且希望成为国防工业基地的一部分,那么您现在有了明确的截止日期。
为什么是现在?
为什么联邦政府加速推进这一要求?
简而言之,他们并没有真正加速。自最初的CMMC推出以来已经超过五年,但该框架直到现在才成为强制性要求。
与此同时,美国整体尤其是国防工业基地面临的威胁日益增加。发生了许多大型攻击,包括针对关键基础设施的供应链攻击。像Volt Typhoon这样的组织以及众多国家级行为体一直在对该国发动数字战争,而这些努力不会减弱。
现代技术发展也很快。像AI这样的新工具使得威胁更容易产生新的攻击向量。
整个国防工业基地非常广泛,估计包括全国和全球约20万至30万家企业。然而截至目前,这些公司中只有不到300家拥有有效的CMMC实施。
虽然这数十万家公司中的大多数不处理FCI或CUI,因此不需要CMMC,但仍有数千家公司将需要至少2级认证,还有数千家将需要1级认证。这是一个相当大的差距,即使其中一家公司也可能导致FCI或CUI的泄露。
政府已经划清了界限:是时候认真对待此事,合规或者让路给合规组织接管合同。
您现在需要做什么
这项新公告对您的业务意味着什么?
这取决于您在流程中的位置以及您的目标是什么。
您是否属于豁免范围之一?如果您提供商业现成产品并有资格获得CMMC豁免,那么您已经准备就绪。还有一些类似的豁免,例如微采购;通常,如果您属于这些类别之一,您已经知道。
您是否打算与国防部或其承包商之一合作?如果不打算,您可能不需要追求CMMC。CMMC并非所有联邦政府合同都要求,仅适用于受DFARS合同条款约束的国防部合同。如果您打算为国防部或国防工业基地内的承包商工作,那么您可能需要更深入地研究。
您是否会处理联邦合同信息、受控非保密信息或其他覆盖的国防信息?如果不会,您不需要CMMC。CMMC的存在是为了保护敏感信息,这些信息如果暴露可能构成威胁。强迫不处理任何敏感信息的企业为了安全而跳过各种障碍对任何人都没有帮助;有限的范围才是更强的范围。
如果您将要处理敏感信息,那么是时候全力以赴,确定CMMC的实施。
您达到了CMMC实施的哪个阶段?
如果您是已经实现SPRS中CMMC记录的约300家企业之一,那么您已经准备就绪。继续做您正在做的事情,确保持续关注安全,并务必尽快投标您可以赢得的合同,以利用竞争较低的优势。
如果您是数百家正在实施CMMC的企业之一,请继续做您正在做的事情。当您完成所有工作并获得认证时,您可以放心,您在将来与国防部合作方面处于有利地位。
如果您尚未开始实施CMMC,您面前有很多工作。确定您需要达到的CMMC级别(很可能是2级),弄清楚需要完成的工作以及需要收集的证据,然后开始工作。
您还需要找到一个合作的C3PAO。在Ignyte,我们可以同时作为C3PAO以及服务提供商和顾问提供帮助。如果您有疑问,我们可以为您提供建议。如果您需要一个工具来帮助您跟踪和维护所有与CMMC相关的众多安全控制措施的合规任务,Ignyte Assurance Platform是完美的选择。您只需安排一次通话即可亲眼看到它的运作。
CMMC成为这片土地的法律已经是时候了,时钟正在滴答作响。现在开始实施将为您以后省去麻烦,所以越早开始越好。